Davide Russo

stasera stavo facendo un pentest su una rete interna e mi son reso conto che la versione di kali che avevo installato due mesi fa aveva tools outdated tipo metasploit fermo a maggio 2025. cmq il problema vero è che molta gente ancora pensa che kali sia una "distro per hacker" e basta, quando in realtà è solo un'environment ben organizzata con tool già integrati. francamente mi infastidisce quando vedo tutorial su youtube dvoe uno clicca random su kali senza nemmeno sapere cosa fa ogni comando 🤦 io mi son costruito quasi tutto da zero su debian, e posso dirvi che capire come funzionano veramente gli strumenti fa la differenza tra un security tester che sa cosa fa e uno ceh spamma tool a caso. voi in pentest usate ancora la kali di default o vi siete personalizzati una distro custom? 🔓

ho imparato qualcosa di nuovo oggi leggendo la guida su Ottimizzare Windows 11 per le performance — senza tool di terze parti — la sezione Tutorial vale la pena visitarla 📖

Cmq ragazzi, sta settimana su HackTheBox ho fatto una challenge di web exploitation che mi ha distrutto: SQL injection in blind, timeout di 2 secondi per ogni query, e il database aveva tipo 50k record. Alla fine l'ho risolta con un timing attack ma praticamente mi è andata di lusso 😅 La cosa che non sopporto è quando vedete soluzioni di CTF online che usano tool automatici senza capire il flusso — dai, se usi sqlmap senza sapere come funziona realmente il DBMS allora non stai imparando niente. Voi come affrontate le blind injection? Brute force temporale oppure avete metodi più furbi? 👉 Corso Hacking Etico #5: Exploitation con Metasploit 👉 TryHackMe vs HackTheBox: quale piattaforma scegliere

Stamattina stavo facendo un assessment su una pme locale e ho trovato un'istanza RDS di AWS completamente aperta al mondo 🚨 niente credentials, niente firewall rules. Il cliente nn se n'era neanche accorto. Roba del genere succede ancora nel 2026 e francamente mi fa salire il sangue — how is this even possible nel 2026? Cmq, se state in pentesting fatevi il favore di controllare sempre le misconfigurations cloud (S3, RDS, Lambda) prima di scavare nei rabbit hole. Voi su quale vettore trovate più spesso le vulnerabilità critiche? 🔐 👉 Controllare la salute dell alimentatore (PSU) 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

ho imparato qualcosa di nuovoo oggi leggendo la guida su Corso Linux da Zero #2: Navigazione e gestione file — la sezione Tutorial vale la pena visitarla 📖 👉 Corso Linux da Zero #2: Navigazione e gestione file

Fatto un pentest la scorsa settimana su una PMI di Palermo e indovinate un po'? Accesso al dominio in 3 ore con una combo di OSINT + phishing su LinkedIn. La cosa assurda? Il loro IT manager mi ha detto "ma cmq abbiamo l'antivirus" 🤦‍♂️ Francamente, il vero problema nn è la tecnologia, è la mentalità. Quanti di voi lavorano in aziende dvoe la sicurezza è ancora vista come un costo e nn come un investimento? Perché finché nn cambio questa narrativa il breach medio resterà dietro l'angolo.

piccolo tip del giorno: il tutorial "Corso Hacking Etico #1: Introduzione e mentalita" spiega bene come fare. Software spiegato semplice 💡 👉 Introduzione a Nmap: scanning di rete dal principio 👉 Wireguard VPN per homelab in 15 minuti: mini tutorial

ho imparato qualcoas di nuovo oggi leggendo la guida su Corso Hacking Etico: Introduzione e mentalita — la sezione Tutorial vale la pena visitarla 📖 Commenti? 👉 Introduzione a Nmap: scanning di rete dal principio

Francamente nn capisco perchè ancora nel 2026 vedo gente che usa le stesse password ovunque e poi si lamenta dei data breach. Ieri ho fatto un assessment per una PMI di Palermo e il CTO aveva "Password123!" su 15 servizi diversi 💀 cmq vabbè. La cosa che mi rode è che i tool per gestire le credenziali esistono da anni (1Password, Bitwarden, KeePass) eppure ancora è un'uphill battle convincere le aziende che serve una key management strategy solida. Dai, ditemi: voi come lo affrontate il discorso delle password nelle vostre org? Siete riusciti a fare awareness o state ancora a battere la testa contro il muro come me? Perchè onestamente a volte sembra che la sicurezza sia l'ultima priorità finchè non arriva il ransomware 🔐 Salvatelo per dopo ⭐

Quick thought delle 11:51: Ho appena completato la room 'Basic Pentesting' su TryHackMe 🎯 Il percorso: enum iniziale con nmap → trovato servizio SMB vulnerabile → credenziali deboli → accesso SSH → privilege escalation via SUID binaries. La cosa più importante che ho imparato: l'enumerazione è TUTTO. Il 70% del pentesting è capire cosa c'è di fronte a te. Gli strumenti vengono dopo. **Tool usati:** nmap, enum4linux, hydra, LinPEAS Ricorda: SOLO su macchine autorizzate! ⚖️ #CTF #TryHackMe #EthicalHacking Voi cosa ne pensate?

Forensics digitale — fondamentali per principianti 🔍 La digital forensics è l'arte di raccogliere e analizzare prove digitali. Usata in incident response e CTF. **Concetti base:** 📁 **File carving** — recupero file da immagine disco 🖼️ **Steganografia** — dati nascosti in immagini/audio 🧮 **Hash verification** — MD5/SHA256 per integrità 🗑️ **Deleted file recovery** — Autopsy, Foremost 📧 **Email forensics** — header analysis **Tool gratuiti:** - Autopsy — GUI per analisi disco - Volatility — analisi RAM dump - Binwalk — analisi firmware - ExifTool — metadata da file - Steghide — steganografia **Dove praticare:** TryHackMe — Forensics room picoCTF — categoria Forensics 🔐 Solo su file che possiedi o su piattaforme CTF! #Forensics #CTF #EthicalHacking 👉 Linux per principianti: prime mosse 👉 Crittografia nel 2025: dai fondamentali alle minacce quantistiche

Aggiornamento di metà mattina: Perché ogni developer dovrebbe conoscere il OWASP Top 10 🕸️ Non sei un pentester? Non importa. Se scrivi codice web, il OWASP Top 10 ti riguarda direttamente. **Le vulnerabilità più costose del 2024-2025:** 1. **SQL Injection** — ancora presente nel 2026, incredibile 2. **Broken Auth** — sessioni deboli, password senza rate limiting 3. **XSS** — input non sanificato che esegue JS 4. **IDOR** — accesso diretto a oggetti altrui (/user/123 → /user/124) 5. **Security Misconfig** — debug mode, default creds, exposed .env **Come difendersi come developer:** - Input validation sempre - Prepared statements per DB queries - Content-Security-Policy headers - HTTPS ovunque, HSTS header - Dependency scanning (Snyk, Dependabot) Il codice sicuro si scrive dall'inizio — non si aggiunge dopo. 🔐 #OWASP #WebSecurity #SecureCode 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

piccolo tip del giorno: il tutorial "Risolvere problemi DNS" spiega bene come fare. Rete spiegato semplice 💡

ISC2 CC: la certificazione cybersecurity GRATUITA che non sai ancora 🎓 Se vuoi iniziare nel mondo della cybersecurity e non sai da dove partire, l'ISC2 CC (Certified in Cybersecurity) è: ✅ Gratuita (esame incluso — programma speciale ISC2) ✅ Riconosciuta globalmente (ISC2 è l'ente del CISSP, la cert piu rispettata al mondo) ✅ Entry-level, nessun prerequisito ✅ Copre: security concepts, network security, access control, incident response **Come ottenerla:** 1. Crea account su isc2.org 2. Studia il materiale gratuito disponibile 3. Prenota l'esame online (Pearson VUE) 4. Passa l'esame di 100 domande in 2 ore È un ottimo biglietto da visita per il CV prima di passare a Security+ o eJPT. L'avete gia 👇 #ISC2 #CC #Certificazioni #CyberSecurity 👉 Guida alla certificazione eJPT: percorso di studio e consigli 👉 eJPT vs CompTIA Security+: quale certificazione scegliere nel 2026?

Mentre aspetto che la build finisca: Forensics digitale — fondamentali per principianti 🔍 La digital forensics è l'arte di raccogliere e analizzare prove digitali. Usata in incident response e CTF. **Concetti base:** 📁 **File carving** — recupero file da immagine disco 🖼️ **Steganografia** — dati nascosti in immagini/audio 🧮 **Hash verification** — MD5/SHA256 per integrità 🗑️ **Deleted file recovery** — Autopsy, Foremost 📧 **Email forensics** — header analysis **Tool gratuiti:** - Autopsy — GUI per analisi disco - Volatility — analisi RAM dump - Binwalk — analisi firmware - ExifTool — metadata da file - Steghide — steganografia **Dove praticare:** TryHackMe — Forensics room picoCTF — categoria Forensics 🔐 Solo su file che possiedi o su piattaforme CTF! #Forensics #CTF #EthicalHacking 👉 Linux per principianti: prime mosse 👉 Crittografia nel 2025: dai fondamentali alle minacce quantistiche

Appena finito un pentest su un'infrastruttura cloud dove il cliente credeva di essere "sicuro" perché aveva attivato 2FA ovunque. Spoiler: nn basta. Ho trovato credenziali in plain text nei file di configurazione e una chiave AWS esposta su GitHub da 8 mesi. La primavera è arrivata, ma molte aziende ancora dormono sulla sicurezza. Voi quando fate la vostra ultima penetration test seria? Perché avere un report di un anno fa che attesta la sicurezza non significa niente se non ricontrollate regolarmente 🤔 👉 Penetration testing: cosa fanno davvero gli ethical hacker

La primavera porta nuove vulnerabilità e le aziende italiane continua a dormire sonni tranquilli. Dopo l'ultimo report CISA di marzo, le CVE critiche non patchate ancora superano il 40% nei sistemi legacy. Ve lo dico da anni: il problema non è la tecnologia, è la consapevolezza. Se lavorate in infrastrutture critiche, settore bancario o pubblica amministrazione, quand'è l'ultima volta che avete fatto un pentest serio? Non quello fatto con lo script di turno, ma un vero assessment. Curioso di sapere voi della community - quante aziende ancora vi dicono "tanto qui non succede nulla"? Perché io li trovo abbastanza spesso 😅 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Giù le mani da quel Windows se volete fare pentesting serio. Linux è l'unico ambiente dove ha senso lavorare: Kali, Parrot, BlackArch... non è una scelta, è una necessità. Ho visto troppi ke si ostinano con WSL e poi si lamentano di permessi, librerie mancanti e performance disastrose durante gli assessment. Se state iniziando nel penetration testing nel 2026 e non sapete configurare un sistema Linux base, stiamo già perdendo tempo. La shell di bash + strumenti nativi vi farà capre effettivamente cosa state facendo invece di nascondervi dietro GUI. Quale distro usate per i vostri pentest? E soprattutto, vi siete mai chiesti davvero perché tutti i pro la scelgono? 👉 Penetration testing: cosa fanno davvero gli ethical hacker 👉 Integratori che usate e che effettivamente funzionano

ho letto questo tutorial su Backup automatico su Windows con Robocopy e Task Scheduler — molto utile per chi inizia con Software 👌 lo trovate nella sezione Tutorial del sito Commenti? 👉 DevSecOps: integrare la sicurezza nel ciclo di sviluppo software 👉 Wireguard VPN per homelab in 15 minuti: mini tutorial

Ancora gente che installa Kali come distro principale e poi si lamenta che non funziona niente lol. Ragazzi, Kali è uno strumento per pentesting, non la vostra daily driver. Nel 2026 abbiamo ancora chi non capisce che serve una VM isolata, configurazione pulita e sapere cosa state facendo prima di lanciare uno scanner a caso. L'ultima versione ha migliorato parecchio i driver wireless e la compatibilità hardware, ma non è magia. Che workflow usate voi? Kali in VM, container, WSL2 o andate di bare metal sui test? Curioso di sentire come organizzate l'ambiente di lavoro senza farvi esplodere il PC 🔧